El Phishing - No pesques la Trampa. ¿Qué es? y consejos para evitarlo.

Publicado por PcTec-21 martes, 28 de febrero de 2012



El Phishing - No pesques la Trampa.

Definición de Phishing

Es un término informático que denomina un tipo de delito incluido dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. (Wikipedia).

Origen del término.

El término phishing proviene de la palabra inglesa "fishing" (pesca),  haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura “ph” es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking.

Los principales daños provocados por el phishing son:

1.   Robo de identidad y datos confidenciales de los usuarios. Esto puede conllevar pérdidas económicas para los usuarios o incluso impedirles el acceso a sus propias cuentas.
2.   Pérdida de productividad.
3.   Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.

El escenario de Phishing generalmente está asociado con la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. El engaño suele llevarse a cabo a través de correo electrónico y, a menudo estos correos contienen enlaces a un sitio web falso con una apariencia casi idéntica a un sitio legítimo. Una vez en el sitio falso, los usuarios incautos son engañados para que ingresen sus datos confidenciales, lo que le proporciona a los delincuentes un amplio margen para realizar estafas y fraudes con la información obtenida.

La principal manera de llevar adelante el engaño es a través del envío de spam (correo no deseado) e invitando al usuario a acceder a la página señuelo. El objetivo del engaño es adquirir información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios. A menudo, estos correos llegan a la bandeja de entrada disfrazados como procedentes de departamentos de recursos humanos o tecnología o de áreas comerciales relacionadas a transacciones financieras.

Phishing mediante Web falsa(Xploit)

Un Xploit es una copia exacta de páginas que al ser enviada se aprovecha de la imagen y estructura del sitio original para hacer entrar en confianza al usuario y que este facilite su contraseña. Te mandan un correo de una postal Gusanito o cualquier otra cosa, intentas abrirlo y cuando haces esto, resulta que te saliste de tu cuenta de Hotmail y te pide que coloques nuevamente tu correo y contraseña al hacer esto, tu password se lo envía a la persona que te envío ese correo, como resultado de ello, le acabas de dar tu contraseña sin que le haya costado el minino esfuerzo.

Phishing Mediante Mensajería Instantánea (MSN Messenger)

Dos de los ejemplos más recientes son las páginas quienteadmite y noadmitido destinadas a robar el nombre y contraseña de los usuarios de MSN a cambio de mostrarle  los visitantes que las utilicen, quien los ha borrado de su lista de contactos. Esta técnica consiste en pedirle al usuario final su usuario o correo electrónico y luego la contraseña, datos que son enviados luego a la base de datos del autor de la página, y así almacenando la información para poder acceder a dichas cuentas.

Consejos para evitar ser víctima del phishing
No hagas clic a enlaces que vienen en correos electrónicos.

Esta es la práctica más importante. Instituciones responsables nunca piden datos confidenciales por email. Si sientes que debes verificar alguna información, accede a la página web relacionada directamente, sin hacer clic a ningún enlace en el correo electrónico. Aun cuando la dirección web parezca auténtica, pudiera hacer un re-direccionamientos a páginas falsas.

Para visitar una página introduce la dirección en la barra de direcciones

Esto es para evitar los re-direccionamientos mencionados en la recomendación anterior. Teclea la dirección (o URL) en la barra de direcciones del navegador Internet, si realmente consideras necesario visitar la página web.
Disminuye la cantidad de correo no deseado que recibes

Los mensajes con intenciones de hacer phishing se distribuyen mediante correo electrónico, por lo cual toda acción que contribuya a disminuir el correo no deseado o spam que recibes, contribuye a reducir el riesgo.

No proporciones información confidencial

Números de tarjetas de crédito, de seguridad social, direcciones, licencias de conducir, claves y números de acceso, son considerados información confidencial y las instituciones responsables nunca piden datos confidenciales por email o mediante un enlace enviado por email.

Nunca envíes información confidencial por correo electrónico

El correo electrónico no es el medio más seguro para enviar información confidencial, no sólo por una posible intercepción, sino porque si alguien adquiere acceso a tu computadora, o a la de la persona a la que lo enviaste, dicha información queda expuesta.

El phishing para que tenga éxito debe lograr que un usuario incauto caiga en la trampa, ya que está basado en la ingeniería social y esta continua siendo una de las metodologías de ataque más utilizada por creadores de malware y usuarios con fines maliciosos debido al alto nivel de eficacia logrado engañando al usuario. “Frente a este panorama, resulta fundamental que los usuarios conozcan las artimañas que circulan en Internet para evitar ser víctimas de engaño que suelen apuntar al robo de identidad o de dinero”.


Fuentes Investigadas.
·         Panda Security.
·         Wikipedia.
·         segu-info.com.ar
·         aprenderinternet.about.com
·         eset-la.com
·         elblogdejorgechu.com


0 comentarios

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...
Con la tecnología de Blogger.

wibiya widget